Windows - Weboldal tiltása az IPSec segítségével MMC snap-in-ből.

Az IPSec szolgáltatással megtehetjük, hogy letiltunk IP-címeket, és ezzel a módszerrel elérhetetlenné tehetünk weboldalakat. Cikkünkben bemutatjuk, hogy a helyi biztonsági házirend mmc snap-in segítségével mindezt miként tehetjük meg.
Újságunkban már többször is foglalkoztunk az IPSec technológiával, amely kiterjedt lehetőséggel és funkciókészlettel rendelkezik az IP-csomagok forgalmának biztonságosabbá tételében. Most egy olyan alkalmazási lehetőségét mutatjuk be, amellyel pl. letilthatjuk otthoni számítógépünkön bizonyos weblapok elérését, ha azt szeretnénk, hogy gyermekünk ne látogathassa az oldalt.
Példaként a www.pelda.com letiltását vesszük.
  • Első lépésként nyissuk meg a felügyeleti eszközökben található helyi biztonsági házirendet.
  • Válasszuk az "IP-biztonsági házirendek – Helyi számítógép" menüpontot.
  • A jobb oldali panelben jobb egérgombbal kattintva válasszuk az "IP-szűrőlisták és szűrőműveletek kezelése..." menüpontot.
  • Az "IP-szűrőlisták kezelése" lapon két alapértelmezett szűrőt láthatunk, amelyek a "Minden ICMP forgalom" és "Minden IP forgalom" nevet viselik. A hozzáadás nyomógomb segítségével hozzunk létre egy új szűrőlistát.
  • Nevezzük el az új szűrőlistát "www.pelda.com", és adjunk meg leírást is, ha szeretnénk. Legyen bekapcsolva a "Hozzáadás varázsló"! Itt újból használjuk a hozzáadás nyomógombot, és hozzunk létre új szűrőt.
  • A varázslóban lépkedve először adjuk meg forráscímnek a saját IP-címet.
  • Cél címnek válasszuk a "Megadott DNS-név" opciót, és írjuk be a mezőbe, hogy www.microsoft.com.

  • Mivel a www.microsoft.com névhez több IP-cím is megfeleltetett, ezért a figyelmeztető ablakban kattintsunk az Igen-re, és ezzel valamennyi IP-cím a célcímek között szerepel, azaz egyik címen sem tudjuk elérni az oldalt. A microsoft példa csalóka, mivel a névfeloldás változhat és a későbbiekben újabb szerverek, és újabb IP-címek jelenhetnek meg. (Vagyis az oldal mégis elérhető marad.) Ezzel a példával csak azt illusztráljuk, hogy több IP-cím felvétele így lehetséges. A microsoft.com letiltása keményebb dió. Használjuk tehát azt a www.pelda.com formájú elnevezést, azt, amit valóban szeretnénk letiltani.
  • A következő oldalon válasszuk ki a protokoll típusát, ami ebben az esetben bármely protokoll, majd a következő oldalon válasszuk a bármely port-ról bármely port-ra beállítást.
  • Zárjuk be az "IP-szűrőlista" ablakot.

  • Váltsunk az "Szűrőműveletek kezelése" ablakra, ahol a "Biztonság kérése", "Biztonság megkövetelése" és "Engedélyezés" a megtalálható szűrőműveletek.
  • Bizonyosodjunk meg arról, hogy be van jelölve a "Hozzáadás varázsló", majd kattintsunk a hozzáadásra.
  • Nevezzük el a szűrőműveletet, majd válasszuk a "Letiltást", mint műveletet.
  • A varázsló befejeztével zárjuk be a dialógusablakot, hogy újra csak az mmc snap-in ablak legyen látható.
  • Most a jobb oldali panelen újból jobb egérgombbal kattintva válasszuk az "IP-biztonsági házirend létrehozása..." menüpontot.
  • Nevezzük el a házirendet, majd a következő oldalon kapcsoljuk ki a válaszszabály aktiválását.
  • A varázsló befejező ablakán hagyjuk bekapcsolva a "Tulajdonságok szerkesztése" kapcsolót, és zárjuk be a varázslót.
  • A megnyitott tulajdonságablak szabályok lapján a varázsló bekapcsolását ellenőrizzük, és ismét kattintsunk a hozzáadásra.
  • Válasszuk a varázslóban azt, hogy "Ez a szabály nem határoz meg bújtatást".
  • A következő oldalon "Minden hálózati kapcsolatra" érvényesítsük.
  • Válasszuk a következő oldalon az "Active Directory alapértelmezett (Kerberos V5 protokoll)"-t. A következő figyelmeztetésre kattintsunk Igen-t, még akkor is, ha nem vagyunk tartománytagok.
  • Az IP szűrőlisták közül válasszuk az általunk frissen elkészített listát.
  • A szűrőműveletek közül szintén az általunk elkészített műveletet.
  • A befejezés ablakon nem szükséges szerkesztésre megnyitni a házirendet.
  • Az így újonnan létrehozott házirendet úgy aktiválhatjuk, ha jobb egérgombbal kattintunk rá, és a kijelölést választjuk.
Ha mindent helyesen végeztünk el, akkor a www.pelda.com oldal a helyi gépről elérhetetlen lesz.